Raport Specjalny | Bezpieczeństwo Banków – Splunk | Zastosowania platformy Splunk w świetle rozporządzenia DORA
Sebastian Jarosik
Regional Sales Manager
sjarosik@splunk.com
Marcin Dąbrowski
Regional Sales Manager
mdabrowski@splunk.com
Monitorowanie bezpieczeństwa
Splunk umożliwia analizowanie w czasie rzeczywistym poziomu ryzyka związanego z danymi, siecią, punktami końcowymi oraz usługami i urządzeniami chmurowymi. Platforma Splunk pozwala zespołom ds. bezpieczeństwa i analizy ryzyka na wykrywanie i priorytetyzację zagrożeń dotyczących dowolnego monitorowanego obszaru biznesowego.
Zaawansowane wykrywanie zagrożeń (Advanced Persistent Threat)
Splunk Enterprise pozwala przeszukiwać i korelować dane w celu wykrycia zaawansowanych zagrożeń. Splunk Enterprise Security (ES) i Splunk User Behavior Analytics (UBA) stosują metodologię cyber kill chain w formie analizy statystyk i wykrywania anomalii oraz techniki uczenia maszynowego, wykorzystując je w celu wykrycia nieznanych, zaawansowanych zagrożeń. Jest to idealne rozwiązanie przeciwdziałające wielostopniowym, długotrwałym i złożonym atakom APT.
Wykrywanie oszustw
Splunk wykorzystuje dane maszynowe pochodzące z dowolnego źródła (np. systemów transakcyjnych czy bankomatów) do wykrywania wszelkich nieuczciwych aktywności, dając zespołom ds. nadużyć zestaw dodatkowych możliwości wychwytywania i zapobiegania incydentom.
Zagrożenia wewnętrzne
Poprzez przypisanie ryzyka do poszczególnych pracowników organizacji, Splunk umożliwia zespołom ds. bezpieczeństwa wykrywanie zagrożeń stwarzanych również przez osoby wewnątrz firmy, które mając legalny dostęp do sieci wewnętrznej i newralgicznych danych, mogą przypadkowo lub intencjonalnie narazić organizację na poważne straty.
Śledzenie incydentów i informatyka śledcza
Zdarza się, że incydenty zagrażające bezpieczeństwu mogą wystąpić bez ostrzeżenia i pozostawać niewykryte na tyle długo, że stwarzają realne zagrożenie dla firmy. Splunk dostarcza użytkownikom tzw. single source of truth, czyli jedno miejsce, w którym znajdują się wszystkie dotychczas zebrane dane maszynowe. Dzięki temu skraca się czas reakcji, co minimalizuje szanse, aby zagrożenie pozostawało niewykryte przez dłuższy czas.
Reagowanie na incydenty
Pracownicy różnych części organizacji często nie komunikują się między sobą podczas zarządzania reagowaniem na złośliwe aktywności, incydenty i naruszenia bezpieczeństwa. Wskutek tego zagrożenia dla firmy mogą pozostać niezauważone i nigdy nie uzyskają statusu incydentu. Szerokie spektrum zagrożeń, które nieustannie ewoluuje, utrudnia specjalistom ds. bezpieczeństwa nadążanie za najnowszymi rodzajami zagrożeń. Aby wspomóc osoby odpowiedzialne za reagowanie na incydenty w radzeniu sobie z najnowszymi zagrożeniami, Splunk zatrudnia zespół ds. badań nad bezpieczeństwem, który zapewnia użytkownikom Splunk Enterprise Security regularne aktualizacje. Aktualizowane treści pozwalają użytkownikom na szybką ocenę środowiska pod kątem wskaźników zagrożeń i zachowań, co skraca ogólny czas reakcji.
Automatyzacja SOC
Nieustanna ewolucja zagrożeń stanowi prawdziwe wyzwanie dla zespołów ds. bezpieczeństwa. Adaptacja oprogramowania Splunk SOAR do wykrywania, reagowania, analizy, orkiestracji i automatyzacji zdecydowanie zwiększa skuteczność w zapobieganiu skutkom incydentów. Platforma pomaga organizacjom w ulepszaniu praktyk bezpieczeństwa z wykorzystaniem SOC.
Zgodność z regulacjami
W każdym środowisku istnieją wymogi regulacyjne – szczególnie jeśli mamy do czynienia z RODO, HIPAA, PCI, SOC2 lub CIS (Critical Security Controls). Splunk zapewnia wiele sposobów rozwiązywania problemów ze zgodnością. Jednym z przykładów może być wykorzystanie platformy Splunk do tworzenia reguł korelacji i raportów, które identyfikują zagrożenia związane z dostępem do wrażliwych danych czy informacji o kluczowych pracownikach, przy jednoczesnym tworzeniu automatycznych raportów zgodności z regulacjami.